none
Репликация контроллера AD без VPN RRS feed

  • Вопрос

  • Добрый день. Вот такая задачка поступила: Организовать репликацию AD-контроллера без VPN.

    Вообще, цель - Авторизовывать клиентов (у которых в свою очередь свой домен) в наших сервисах(RDP и т.д.), чтобы клиентам не авторизовываться два раза: в своем домене, потом в нашем.

    Подскажите, есть ли такая возможность?

    15 октября 2015 г. 4:43

Ответы

  • Репликация между контроллерами домена идёт по протоколу RPC с транспортом IP. От нижележащих технологий канального уровня, обеспечивающих связь по IP (в т.ч. - и от VPN) она не зависит. Но связь должна быть, и обычно между организациями используют как раз VPN, но это может и выделенный канал, и провадеский VPN (он делается совсем другими средствами, нежели между серверами Windows или маршрутизаторами класcа SOHO, т.е. для дома или малого офиса).

    Доверительные отношения (то, что реально нужно в вашем случае) в варианте доверия между доменами - они тоже требуют точно такой же связи по IP, т.к. тоже используют RPC.

    Возможность сквозной аутентификации сторонних клиентов без создания доверительных отношений зависит от сервиса: поддерживает ли он федеративную аутентификацию (в Windows Server за неё отвечает роль AD Federation Services). Только вот, поддерживают федеративную аутентификацию всё больше сервисы, основанные на HTTP (Sharepoint, к примеру), для удалённого подключения к рабочему столу она (насколько мне известно, на все 100 утверждать не могу) непригодна.


    Слава России!

    15 октября 2015 г. 15:56
  • Можно использовать ADFS и Application Proxy для организации внешнего доступа по RDP http://blogs.technet.com/b/applicationproxyblog/archive/2014/10/01/introducing-the-next-version-of-web-application-proxy.aspx

    Сазонов Илья

    https://isazonov.wordpress.com/

    16 октября 2015 г. 3:22
    Модератор

Все ответы

  • Репликация между контроллерами домена идёт по протоколу RPC с транспортом IP. От нижележащих технологий канального уровня, обеспечивающих связь по IP (в т.ч. - и от VPN) она не зависит. Но связь должна быть, и обычно между организациями используют как раз VPN, но это может и выделенный канал, и провадеский VPN (он делается совсем другими средствами, нежели между серверами Windows или маршрутизаторами класcа SOHO, т.е. для дома или малого офиса).

    Доверительные отношения (то, что реально нужно в вашем случае) в варианте доверия между доменами - они тоже требуют точно такой же связи по IP, т.к. тоже используют RPC.

    Возможность сквозной аутентификации сторонних клиентов без создания доверительных отношений зависит от сервиса: поддерживает ли он федеративную аутентификацию (в Windows Server за неё отвечает роль AD Federation Services). Только вот, поддерживают федеративную аутентификацию всё больше сервисы, основанные на HTTP (Sharepoint, к примеру), для удалённого подключения к рабочему столу она (насколько мне известно, на все 100 утверждать не могу) непригодна.


    Слава России!

    15 октября 2015 г. 15:56
  • Можно использовать ADFS и Application Proxy для организации внешнего доступа по RDP http://blogs.technet.com/b/applicationproxyblog/archive/2014/10/01/introducing-the-next-version-of-web-application-proxy.aspx

    Сазонов Илья

    https://isazonov.wordpress.com/

    16 октября 2015 г. 3:22
    Модератор